Le Comité européen de la protection des données (EDSA) a publié la version finale des lignes directrices sur les restrictions en vertu de l’article 23 du RGPD (Lignes directrices 10/2020 sur les restrictions au titre de l’article 23 du GDPR, Version 2.0, Adoptée le 13 octobre 2021).
Selon l’art. 23 RGPD les États membres de l’EEE peuvent prévoir dans leur droit national des “limitations” à l’obligation d’information prévue aux articles 12 et suivants et aux droits d’accès, de rectification, d’effacement et de limitation du traitement, d’opposition au traitement et d’escalade dans le cas de décisions individuelles automatisées et à l’obligation d’informer les autres destinataires des rectifications, effacements et limitations du traitement. Les limitations doivent toutefois servir les objectifs de l’article 23, points a‑j, et respecter les exigences de l’article 23, paragraphes 1 et 2, du RGPD.
Une grande partie des lignes directrices s’adresse aux législateurs des États membres. Ces indications peuvent servir de moyen d’interprétation du droit national dans le sens d’une interprétation conforme au droit européen. Par ailleurs, on y trouve également des déclarations qui concernent plus directement l’application du droit :
- L’EDSA insiste sur le caractère exceptionnel des restrictions qui, conformément à interpréter de manière restrictive sont
- Responsables communs devraient également inclure dans leur accord les restrictions applicables, le cas échéant.
- Les responsables doivent expliquer les raisons d’une restriction dans un cas concret en tant que “bonne pratique”. documenter (y compris, le cas échéant, les critères d’application et la durée de la restriction).
- Dans la mesure où un DPO Si le patient a été désigné comme responsable, il doit être informé de toute restriction et cela doit également être documenté.
- Si la raison d’une limitation disparaît, le droit de la personne concernée doit rattrapé être.